Sanciones de protección de datos

Sanciones a la orden del día

Es bien sabido, en términos generales, que el incumplimiento de la norma (independientemente del objeto de esta) conlleva la imposición de multa o sanción, según corresponda.

Bien, en materia de protección de datos no es la excepción. La Ley de Protección de Datos Personales y garantía de los derechos digitales 3/2018 (LOPD-GDD) dedica el Título X por completo, a regular el régimen sancionador en esta materia.

Determina el régimen sancionador, los sujetos responsables, así como las diferentes infracciones, las cuales están calificadas de leves a muy graves, tomando en consideración la diferenciación que el Reglamento General de Protección de Datos 679/2016 (RGPD) establece al fijar la cuantía de las sanciones.

Del mismo modo, se señalan las medidas correctivas y la prescripción de las sanciones.

Multas / Sanciones de protección de datos

El incumplimiento de las disposiciones legales, en la mayoría de los casos, tiene consecuencias que puedan adoptar la forma de sanciones.

No cumplir con la normativa de protección de datos no es algo inocuo y carente de importancia; al contrario, tanto la normativa europea, a través del RGPD, como en la norma española, la LOPD-GDD, definen un régimen sancionador que hay que conocer y tener en cuenta, pues nos podemos llevar sorpresas desagradables que hubiésemos querido evitar.

El artículo 70 de la LOPD-GDD identifica los sujetos responsables a este régimen sancionador, que son:

  1. Los responsables del tratamiento
  2. Los encargados del tratamiento
  3. Los representantes de los responsables o encargados de los tratamientos
  4. Las entidades de certificación
  5. Las entidades acreditadas de supervisión de los códigos de conducta

Como puede apreciarse, un amplio elenco de sujetos los que pueden ser objeto de sanciones si no cumplen debidamente con las disposiciones legales en materia de protección de datos, independientemente del criterio de territorialidad, pues las sanciones pueden ser aplicadas a tratamientos dentro y fuera del territorio europeo.

La LOPD-GDD diferencia entre infracciones leves, graves y muy graves, siendo la diferencia entre ellas los plazos de prescripción, así como posteriormente, la fijación de la cuantía.

Las infracciones muy graves son, por ejemplo, tratar los datos personales vulnerando los principios de licitud, exactitud, confidencialidad, para finalidades distintas a las que originaron su consentimiento, datos de categoría especial sin los requisitos legales, omisión del deber de información, incumplimiento del bloqueo de datos, transferencias de datos no autorizadas, así como el incumplimiento de las resoluciones de la autoridad de control, entre otros. (art. 72 LOPD-GDD)

Las infracciones graves son, por ejemplo, tratamiento de datos de un menor sin recabar el consentimiento, obstrucción al ejercicio de derechos de los interesados, falta de adopción de medidas técnicas y organizativas de seguridad adecuadas, contratación de un encargado que no cumpla con los requisitos legales, no disponer del registro de actividades de tratamiento, no notificar por parte del encargado las violaciones de seguridad, no atender los requerimientos de la autoridad de control, no realizar la evaluación de impacto, cuando sea obligatoria, entre otros (art. 73 LOPDGDD).

Las infracciones leves son, por ejemplo, solicitar el pago de una cantidad al interesado cuando ejerza sus derechos, así como no atender las propias solicitudes de derechos, el incumplimiento por parte del encargado de lo dispuesto en el contrato con el responsable, no comunicar al afectado una violación de seguridad, no publicar los datos de contacto del delegado de protección de dato, entre otros (art. 74 LOPDGDD).

Cuantía de las sanciones de protección de datos

El artículo 71 de la LOPDGDD señala que constituyen infracciones los actos y conductas a las que se refieren los apartados 4, 5 y 6 del artículo 83 del Reglamento (UE) 2016/679, mismas que son:

Multas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

Multas de 20 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía:

Casos reales de sanciones de protección de datos

A continuación algunos ejemplos recientes de entidades conocidas:

Sanción a H&M

Sanción a IBERIA

Sanción a PROSEGUR

aunque existen numerosos casos no tan conocidos, que se publican en la propia AEPD, que es la autoridad que tiene reconocida la potestad sancionadora, es la Agencia Española de Protección de Datos (AEPD).

Las temáticas más destacadas de los procedimientos sancionadores de 2019 son las siguientes:

  • Videovigilancia
  • Páginas web
  • Publicidad a través de correo electrónico o teléfono móvil
  • Telecomunicaciones
  • Administración Pública
  • Contratación
  • Ficheros de morosidad
  • Suministros de gas, agua y electricidad

EL importe total de las multas o sanciones de protección de datos, impuestas en el año 2019 ascendió a 6.295.923 de euros.

Una buena Consultora de protección de datos en Valencia

En Business Adapter Protección de datos Valencia, cumplimos con los criterios de un buen Consultor de protección de datos. Ponnos a prueba y solicita presupuesto: